Cloudflare センシティブデータ検出
Cloudflare センシティブデータ検出の管理ルールセットは、オリジンサーバーから生成されるデータ漏洩を特定するのに役立ちます。そのルールは、一般的なセンシティブデータのパターンを探すために、レスポンスのボディで実行されます。これには以下が含まれます:
- 個人識別情報 (PII) — 例えば、パスポート番号
- 財務情報 — 例えば、クレジットカード番号
- 秘密 — 例えば、APIキー
Cloudflare センシティブデータ検出をオンにしても、追加のレイテンシは発生しません。なぜなら、検出はレスポンスパスの外で行われるからです。このため、ルールは常に Log アクションで展開されます(すでに送信されたレスポンスをブロックすることはできません)。これにより、オリジンサーバーから出て行くセンシティブデータの可視性が提供されます。
Cloudflare センシティブデータ検出の管理ルールセット内の一部のルールは、誤検知や大量のログイベントを防ぐためにデフォルトで無効になっています。アプリケーションに関連するPIIおよびセンシティブデータを確認し、以下のセクションの指示に従って管理ルールセット内の適切なルールをオンにする必要があります。
Cloudflare センシティブデータ検出をオンにすると、訪問者に送信されるすべてのレスポンス(定義されている場合はカスタムフィルター式に従って)をチェックします。これには、キャッシュからのレスポンスや Workers によって処理されたレスポンスが含まれます。
検出は、レスポンス内のテキスト、HTML、JSON、およびXMLコンテンツを最大1MBまで処理します。
Cloudflare ダッシュボードで Cloudflare センシティブデータ検出を設定するには、セキュリティ > センシティブデータに移動します。
管理ルールセットをオンまたはオフにし、以下の設定を構成できます:
- 特定のルールまたは特定のタグを持つルールをオンまたはオフにする。
- フィルター式をカスタマイズする。カスタム式を使用すると、Cloudflare センシティブデータ検出は、受信リクエストのサブセットにのみ適用されます。
ダッシュボードで管理ルールセットを設定する詳細については、管理ルールセットの設定を参照してください。
APIを使用して特定のゾーンに対して Cloudflare センシティブデータ検出を有効にするには、http_response_firewall_managed フェーズのエントリポイントルールセットに execute アクションを持つルールを作成します。管理ルールセットの展開に関する詳細については、管理ルールセットの展開を参照してください。
ルールセットIDは以下の通りです: ...499d988e 。
APIを使用して Cloudflare センシティブデータ検出を設定するには、Rulesets APIを使用して オーバーライドを作成します。以下の設定を行うことができます:
- ルールオーバーライドを作成することで、個々のルールをオンまたはオフにする。
- タグオーバーライドを作成することで、特定のタグを持つすべてのルールをオンまたはオフにする。
APIを使用してオーバーライドを作成する例については、管理ルールセットのオーバーライドを参照してください。
Cloudflare センシティブデータ検出によって検出されたデータ漏洩を確認するには、以下のことを行うことができます:
- 定期的に セキュリティイベントをチェックして、管理ルールセットによって生成されたイベントを確認する。
- WAFアラートを設定して、WAFイベントの急増について通知を受ける。Advanced Security Events Alertでは、エンタープライズプランで1つ以上のドメインや
Data Loss Protectionサービスでフィルタリングして、センシティブデータ検出に関する特定のアラートを受け取ることができます。